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1 

PROCEPE PE SECURISATION P'UN ENSEMBLE ELECTRONIQUE 



EXECUTANT UN ALGORITHME QUELCONQUE 
CONTRE LES ATTAQUES PAR INTRODUCTION P'ERREUR(S) 

5 La pr6sente invention concerne un proc6d6 de s6curisation d'un 

ensemble electronique m ettant e n oe uvre u n algorithme q uelconque o u i I e st 
necessaire de verifier que le d6roulement de I'algorithme a §t§ effectu6 sans 
erreurs, que ce soit pour les etapes interm6diaires des differentes fonctions 
(d6roulement d u code, boucles, tests ... ) o u pour les appels e ntre fonctions. 

10 Plus pr6cis6ment, le proc6d6 vise & r6aliser une version de rimpl6mentation qui 
ne soit pas vulnerable face & un certain type d'attaques par introduction d'une 
ou plusieurs erreurs - dites « Fault Analysis » ou « Extended Fault Analysis » - 
qui cherchent a obtenir des informations sur une ou plusieurs donn§es ou 
operations intervenant dans le calcu! a partir de l'£tude du d§roulernent des 

15 calculs de I'ensemble 6lectronique lorsqu'une ou plusieurs erreurs sont 
introduites. 

La pr^sente invention couvre toutes les implementations ou il est 
necessaire de s'assurer que toutes les 6tapes intervenant lors du calcui ont 6te 
effectuees sans erreurs. 
20 La premiere apparition de telles attaques date de 1996 : 

• Ref (0): New Threat Model Breaks Crypto Codes - D. Boneh, R. DeMillo, R. 
Lipton - Bellcore Press Release 

Le proc6d6 vise 6galement a proposer une parade aux attaques par 
rayonnement, flash, lumidre, laser, glitch ou autres ou plus g6n6ralement S 
25 toute attaque perturbant I'execution des instructions du programme dite attaque 
par perturbation. De telles attaques ont pour consequence de modifier des 
instructions a ex6cuter et pour r6sultat l'inex§cution ou la mauvaise execution 
de certaines parties du programme. 

Le proc6d6, objet de la pr6sente invention, a pour objet la 
30 suppression des risques d'attaques par perturbation ou d'attaques par injection 
de faute d'ensembles ou systemes electroniques en modifiant les fonctions qui 
interviennent lors du calcui. 



Le precede de securisation d'un ensemble electronique mettant en 
oeuvre un processus de calcul classique qui doit etre sans erreur, objet de la 
presente invention, est remarquable en ce que I'on modifie les fonctions mises 
en ceuvres dans le calcul en y ajoutant en pl.usieurs endrojts et ce de maniere 
1 5 automatique : " ~ " 

- Une allocation de memoire dynamique 

- De 1'information statique. 

- Des objets de contrdles appel6s « Balises » et « Points de controle ». 

- Des appels a des fonctions dites « de balises » et « de verification 
10 d'historique» qui de plus utiliseront la memoire dynamique et statique. 

Le proc6d6 utilise le graphe de flot de controle du programme a prot6ger afin 
de generer les informations statiques utilises par les fonctions de verification. 

La balise est une Information qui d6finit les caracteristtques du point de 
passage correspondant et/ou d'un ou plusieurs autres points de passage. 
15 Selon une forme de realisation de ('Invention, la balise est un nombre entier 
localisant la balise dans le code a proteger. 

Selon une autre forme de realisation, la balise est un booieen definissant s'il 
s'agit de la premiere ou de la demiere balise. 

Selon une forme particultere de Tinvention, la balise est une structure de 
20 donn£e caract6risant, e n f onction de I a valeur d 'un registre o u d'une variable 
donn§e, Pensemble des balises dont ori iriterdira (par une fonction de 
verification) le passage dans la suite du deroulement de l'ex6cution. 

Selon une autre forme de realisation particulfere de I'lnvention, la balise est 
une structure de donnee caracterisant, en fonction de la valeur d'un registre ou 
25 d'une variable donn6e, I'ensemble des balises dont on forcera (par une fonction 
de verification) le passage dans la suite du deroulement de Texecution. 

Les formes de realisation cit6es peuvent etre combinees : la balise peut etre 
constitu6e de plusieurs des elements decrits prec6demment. 

Les fonctions de balises et de verifications utilisent une partie partagee de la 
30 m6moire du systeme. 
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La memoire partagee contient une structure de donnee de type pile, de type 
tableau de booleens et/ou de type nombre stockant une somme de contr6le. 
Une fonction de balise est une fonction qui est appelee par le programme a 
5 chaque passage par une balise et qui consiste a stocker dynamiquement dans 
la memoire partagee diverses informations concemant la bal.se, et 
eventuellement a effectuer un contrSle sur le deroulement de I'execution. 

Selon une forme de realisation particuliere de Invention, la fonction de 
balise est une fonction qui empile la balise dans la memoire partagee. 
10 Selon une autre forme de realisation, la fonction de balise est une fonct,on 
qui met a jour une somme de controle contenue dans la memoire partagee avec 

des donnees de la balise. 

Lesdites formes de realisation peuvent etre combinees. 
Une fonction de v6rification d'historique est une fonction appelee a chaque 
15 point de controle af.n de verifier la coherence des informations stockees dans la 
memoire partagee lors des appels successifs des fonctions de balises. 

La memoire statique calcul6 par le processus automatique est une hste de 
pile de balises represents un historique valide de passage de balises et/ou 
une liste de sommes de contr6le obtenues a partir d'un historique valide de 

20 passage de balises. 

Dans le cas d'une somme de controle, la somme de contrSle est obtenu par 
I'utilisation de la fonction addition, par I'utilisation de la fonction Ou exclusif (ou 
XOR). par I'utilisation d'un checksum usuel et/ou par i'utilisation d'une fonction 

cryptographique de hachage. 
25 * " Les objets « Balise » et « Point de contrdle ». les fonctions 
« Fonction de Balises » et « Fonction de Verification d'historique » ainsi que la 
memoire partagee seront decrites de maniere generique par la suite et des 
exemples seront egalement donnes. 
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DESCRIPTION SOMMAIRE DES DESSINS 

D'autres buts, avantages et caracteristiques de ['invention apparaTtront 

a . la. lecture d e_ la description qui va suivre de la mise-en oeuvre du procede 

" 5 "~ selbnTlhveMon et d'un mode~de realfeaUon d'un ensemble electronique adapte 
pour cette mise en oeuvre, donnes a titre d'exemple non limitatif en reference 
aux dessins ci-annexes dans lesquels : 

-la figure 1 montre une representation schematique d'un mode de 
realisation d'un module electronique selon la presente invention ; 
10 -'a figure 2 montre un graphe representant des etapes du procede 

selon la presente invention. 

MANIERE DE REALISER L'INVENTION 

15 Le procede selon I'invention vise a securiser un ensemble electronique, 

et par exemple un systeme embarque tel qu'une carte a puce mettant en 
oeuvre un programme. L'ensemble electronique comprend au moins un 
processeur et une memoire. Le programme a securiser est installe dans la 
memoire, par exemple de type ROM dudit ensemble. 

20 A titre d'exemple non limitatif, l'ensemble e lectronique decrit dans ce 

qui suit correspond a un systeme embarque comprenant un module 
electronique 1 illustr6 sur la figure 1. De tels modules sont realises le plus 
souvent sous I a forme d'un microcircuit electronique i ntegre m onolithique, ou 
puce, qui une fois protege physiquement par tout moyen connu peut etre monte 

25 sur un objet portatif tel que par exemple une carte a puce, carte a microcircuit 
ou autre utilisable dans divers domaines. 

Le module electronique 1 a microprocesseur comprend un 
microprocesseur CPU 3 relie de facon bidirectionnelle par un bus 5 interne a 
une memoire 7 non volatile de type ROM, EEPROM, Flash, FeRam ou autre 

30 contenant le programme PROG 9 a executer, une memoire 11 vive de type 
RAM, des moyens 1 3 I/O d 'entree/sortie pour communiquer avec I'exterieur. 



1. PRINCIPE 

1 .1 Balises et fonction de ballses 



Definition . 
- Une balise sera une information qui deflnira les caracterist.ques du po.nt 

de passage. 

Une fonction de balises sera une fonction qui sera appelee par le 
programme a chaque passage par une balise et qui consistera a stocker 
dans la memoire partagee diverses informations concernant la bal.se et 
6ventuellement a effectuer un controle sur le deroulement de I'executon. 

Exemples 

Une balise pourra par exemple etre : 

. Un nombre entier qui permet de connaTtre la localisation de la drtes 
balise ou bien un boolean definissant s'il s'agit de la premiere ou de la 
derniere balise par exemple. 
. Une structure complexe decrivant un ensemble deformation concernant 
I'etat actuel du dispositif electronique executant le code. Par exemple,; 
une structure de donnees caracterisant, en fonction de la valeur d'un 
registre ou d'une variable donnee, I'ensemble des balises dont on 
interdira (par la fonction de balise ou celle de verification) le passage 
dans la suite du deroulement de I'execution. 

Une fonction de balises pourra par exemple effectuer les operations suivantes : 
- Regarder si la balise est la premiere balise (a I'aide d'un champ specifique 
a la balise). Si oui creer une pile vide en memoire partagee, empiler la 
balise et continuer le code, sinon empiler la balise dans la pile et contmuer 
I'execution du code. 



1 .2 Points de contrdle, Verification d'historique 



Definition 

_ Un point de controle sera une structure., de donnee contenant des 
_ 6 „._ infotmlatioh%~ qui serdnrTitilis6es fonction de v§rifiraTion 

d'historique. 

- La fonction de verification d'historique est une fonction appelee a 
chaque point de controle afin de verifier la coherence des informations 

10 stockees dans la memoire partake lors des appels successifs des 

fortctions de balises. 

Exemples 

- Un point de controle peut §tre constitu6 de toutes les listes de balises 
15 correspondant a des deroulements d'ex6cution autorises aboutissant a 

ce point de contrdle. 

- La fonction de verification pourra etre la verification que la pile des 
balises travers6es correspond a une des listes du point de controle. Si 
tel n'est pas le cas une erreur est detectee. 

20 



2. FORME DE REALISATION 

Nous dScrivons ici £ titre d'exemple lefonctionnement d'un p reprocesseur de 
25 code C qui implante la detection d'erreur de fagon semi-automatique. 

Le preprocesseur accepte comme entree du code source C, et transforme ce 
code pour y inclure la detection d'erreur. 

30 Cette transformation est guid6e par des directives incluses dans le code qui 
specifient les balises qui doivent etre introduites. Ces directives peuyent prendre 
les formes suivantes: 
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1. start : cette directive specifie que la pile des balises successivement 
traversees doit etre videe. 

2. flag : cette directive specifie rintroduction d'une nouvelle balise qui doit etre 

empilee a chaque passage. 

3. yerifv : cette directive specifie I'introduction d'un point de contrdle qui 

provoquera, a chaque fois qu'il sera traverse, la verification que I'ensemble 
des balises empilees correspond a un deroulement d'execution admissible. 

4 race n cond : cette directive specifie I'introduction d'une balise qui indique 
lorsqu'elle est traversee que si I'expression booleenne cond est vraie, alors 
seuls les deroulements d'execution de la famille n sont admissibles. Une telle 
famille est definie par I'ensemble des directives du type suivant. 

s. flaa !n1 .., Ink ml ... mk : cette directive specifie que les deroulements 
d'execution des families n1 ...nk ne doivent pas passer par ce point, et que les 
deroulements d'execution des families m1...mk doivent passer par ce point. 

6. L00P n : cette directive specifie I'entree dans une boucle dont le nombre de 
tour est n. 

On donne lei un un exmple en langage C comportant des directives a I'attention 
du preprocesseur. La fonction int f(int x, int d) effectue actionl(d) trois fois, puis 
action2(d) si x est egal a 1. La fonction action2(int d) effectue action21(d) puis 
action22(d). 

Les directives sont placees dans le code sous forme de #pragma. Leurs effets 
sont indiques en comrnentaire. 
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int £ (int x, int d) { 
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/* starting point of the program part to be protected */ 
#pragma start 
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/* definition of the possible scenarios (optional) */ 
#pragma race 0 x 1= 1 
^pragma race 1 x == 1 
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/* all the race 



must pass here, the flags are automatically numbered */ 



#pragma flag 



if (x X) { 
action2 (d) ; 

5 } 

/* verification of the stack consistency, i.e. that the stack of flags 
is consistent regarding the control flow of the program */ 
tfpragma verify 

" 10 --} --" - ; " * " 



void action2(int d) { 

/* the race 1 must pass here and race 0 must not */ 
15 #pragma flag 10 1 
#pragma verify 

action21 (d) ; 

action22(d) / 

} 

20 Le code obtenu en sortie du pr^compilateur est le suivant 
/*******************************^ 

#ifdef CONTRO!i_FLOW_PROTE CTI ON 

#ifndef CONTROL_FIiOW_PROTECT I ON_HEADER 
25 #define CONTROL_FLOW_PROTECT ION_HEADER 

# include < string . h> 

char control_f lowest ack [8] ; 

char cf_stack_index=0 ; 

char cf~race_flags»0; 

30 char fcPathon » {2, 3, 3, 3 ( 4, 0); 

char fcPathlU «= {2, 3, 3, 3, 4, 1, 0); 

#define cf SET_RACE (x) cf_race_f lags |= x 

#define cfRACB(x) cf_race_f lags & x 

#define cfNORACE I ( cf_race_f lags) 

35 #define cfPUSH(x) control_f low_stack[ cf_stack_indexl =ot, cf_stack_index++ 

#def ine cf RESET (x) control_f lowest ack [0] «x, cf_stack_index=l, cf _race_f lags=0 

tfdefine cfVERIFY(p) strcmp( control_f low_stack,p) «=o 

#define cf ERROR printf ("control flow error detected\n") 

#endif 
40 ftendif 

/*******+*****«*****************^^^ 

int f (int x, int d) { 
45 int i; 

/* starting point of the program part to be protected */ 

#ifdef CONTROL_FLOW_PROTECTION . . . 

Cf RESET (2); 

50 #endif 

/* definition of the possible scenarios (optional) */ 
#if def CONTROL_FLOW_PROTECTION 

if (X !-• 1) cfSET_RACE(l) ; 

55 #endif 

#ifdef CONTROIi_FIiOW_PROTECTION 

if (X — 1) GfSET_RACE(2) ; 

#endif 

60 for(i=0; i<3; i++) { 

/* tells cfprotect that this loop has 3 turns */ 
#pragma loop 3 

#ifdef CONTROL_FLOW_PROTECTION 

cfPUSH(3); 

65 #endif 

actionl (d) ; 

} 

/* all the race must pass here, the flags are automatically numbered */ 
70 #ifdef CONTROL_FLOW_PROTECTION 

cfPUSHU) ; 

#endif 

if (x o- 1) { 
75 action2 (d) ; 

} 
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/. verification of the stack conaiatency. i.e. that the stack of flags 
' Is consistent regarding the control flow of the program */ 
#ifdef CONTROI,_FU)W_PROTECriON 

5 if (,(^afl«~ l_ (_cfVERTFY( fcPathO))] j « 

(|(~CfRACB(2)) II <_ofVBRIPY(_fcPathl)))))) 

{ cf ERROR; } 

ftendif 
10 } 

™ l £ Se^aceT^t^ass here and race 0 «t not ./ 
ftifdef CONTROL_FLOW_PROTBCTION 

15 cfPUSH(l); 

#endif ___ 

ttifdef CONTROIi_FLOW_PROTECTION 

control flow stack l_cf_stack_index]=0; 
if < I ( ( c f NORACE && ( cfVERIFY (_f cPathl) )) I I 

20 Vlfc^^V \T (_cfVBRIPYC_fcPathl»))») 

{ cf ERROR; ) 

tfendif 

action21(d) ; 
25 action22 (d) ; 

} 

Le precompilateur dMntt des structures de donn6es utilises pour la verification, 
Ces structures de donnSes se dlvisent en deux types: statiques et dynamiques. 
30 Les structures de donnSes dynamiques sont: 

1. Un tableau d'octets destin§ ft stacker la pile de balises successivement 
traversees au fur et a mesure de I'exScution du programme. 

2. Un octet indiquant la taille de la pile. 

3. Un octet d6signant les families de chemins admissibles. 



35 



40 



char control JElowjBtack [8] ; 

char cf stack__index=0 ; 

char c f Zrac e_f lags«0 ; 



Les donnees statiques decrivent les piles de balises admissibles; dans notre 



cas: 



char fcPathOH = (2, 3, 3, 3, 4. 0}; 
char ~fcPathld - {2, 3, 3, 3, 4. 1. 0); 



Ces donnees sont calculees par le preprocesseur a partir du graphes de flot de 
controle du programme, calcule egalement par le preprocesseur (voir figure 2). 
fanalyse de ce graphe Indique quelles sont les suites de balises correspondant 
effectivement a un deroulement d'execution menant d'une balise d'initialisatlon a 
50 une balise de verification. 
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Le pr6compilateur definit 6galement un ensemble de functions, en fait des 

macros C, utilisees lors les passages de balises. Ces fonctions sont les 

suivantes: 



_5 #de£ine .cf SET RACE (x)._ — cf. race -flags- |»-x 

^define cf RACE (x) cf — race_f lags & x 

#define cf HORACE I ( cf_ race__f lags) 



#define cfPUSH(x) control_f lowjstackl c£_stack_index] «x, cf_stackJLndex++ 

#def ine cf RESET (x) control_f lowest ack [0] =x, cf_s tack_index=l , cf_race_f lags«0 

10 #def±ne cfVBRIFY(p) etrcmp( control f low_stack,p) ~=0 

fldefine cf ERROR print f ("control flovTerror detected\n n ) 

1 ._cfSET_RACE(x) est utilisees pour indiquer que la famille de d 6roulement 

d'execution codee par x est admissible, 
15 2. cfRACE(x) teste si la famille cod6e par x a ete effectivement activee, dans 

ce cas, seul les d6roulement d'execution de cette famille sont admis. 
3. cfNORACE indique qu'aucune famille n*a §t6 activee, dans ce cas, tout 

d6roulement d'ex6cution coherent avec le graphe de flot de controle est 

admissible. 

20 4._cfPUSH(x) empile la balise x; le prScompilateur assigne a chaque balise 
start ou flag un identificateur unique. 

5. __cfRESET(x) vide la pile de balises. 

6. _cfVERIFY(p)compare la pile de balises avec un tableau reprSsentant une 

pile admissible (run des tableaux statiques pr6calcules). 
25 7._cf ERROR inque la procedure & executer en cas de detection d'erreur. 



Ces fonctions sont utilisees pour implanter la detection d'erreun 

©Une directive start est rernplac6e par une balise d'initialisation cod6e par 

_cfRESET(x) oti x est le symbole attribu6 a la balise en question. 
30 ©Une directive flag ... est replacee par par une balise cod6e par _cfPUSH(x) 

ou x est le symbole attribu6 a la balise en question. 
©Une directive race n cond est remplacde par 

if (cond) _cfSETJRACE(x) 

oti x code la famille n de deroulement d'execution. . . 

35 ©Une directive verify est remp!ac6e par un test, spdcifique au point de 
programme ou elle figure, qui v6rifie que la pile de balises correspond & un 
d6roulement d'execution admissible, en tenant compte des families activ6es. 
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Cette verification s'appuie notamment sur les donnees statiques calculees 
par le preprocesseur. 
©Les directives loop n soht utilisees par le precompiler uniquement qui les 

retire apres sont calcul. 

Dans le cas de Pexemple propose, les verifications s'effectuent a la fin del a 
fonction f et dans la fonction action2. Les tableaux _fcPathO et _fcPath1 
definissent les d6roulement d'execution admissibles. II y a deux families 
d'execution la premier est constitute de _fcPathO et la seconde de _fcPath1. 
_fcPathO correspond a I'executlon qui ne passe pas par I'appel de action2(d); 
_fcPath1 correspond a I'execution qui passe par I'appel de action2(d). 

Si une verification echoue, cela indique que la pile representant les balises 
successivement traversees ne concorde pas avec le graphe de flot de controle 
du programme. On en deduit qu'une erreur a ete injectee lors de ('execution. 

Le precede de securisation est remarquable en ce que Ton modifie les. 
fonctions mises en oeuvres dans le calcul en y ajoutant en plusieurs endroits et 
ce de maniere automatique : 

1 . Des informations statiques generees par le procede automatique. 

2. Une partie dynamique de la memoire du systeme electronique allou6e par le 
procede automatique. 

3. Des balises et des points de contrdles pour jalonner le code, introduits par le 
proc6de automatique. 

4. Des fonctions de balises stockant des informations dans la memoire 
dynamique. 

5. Des fonctions de verification d'historique utilisant les informations statiques 
fi t la memoire dy namique poui^6rjfjgr^u^ 
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REVENDICATIONS 

1- Precede de securisatlon de I'execution d'au moins un module dans une unite 
Slectronique comportant des moyens de traitement de Information et des 
moyens de memorisation d'informations caracterise en ce que, durant 
I'execution dudit module, il consiste, lors du passage par au moins une balise, a 
stocker une ou plusieurs informations sur une ou des caracteristiques de ladite 
balise et a verifier, au moins en un point de contrdle, la consistance des 
informations stockees sur I'ensemble des balises rencontres. 

2- Proced6 de securisatlon d'au moins un module destine a etre int6gre dans 
une unite electronique comportant des moyens de traitement de information et 
des moyens de memorisation ^informations caracterise en ce quMI integre 
automatiquement audit module muni d'un ensemble de directives un ensemble 
de donnees statiques, de fonctions de balise et de fonctlons de verification, les 
premieres representant un ensemble de deroulements d'executions valides, les 
secondes calculant dynamiquement une representation de I'execution. et les 
dernieres servant a verifier la coherence des donnees statiques et dynamiques. 

3- Precede selon la revendication 2. caracterise en ce qu'il utilise le graphe de 
flot de contreie du programme a proteger afin de generer les informations 
statiques utilis6es par les fonctions de verification. 

4- Precede selon la revendication 2 ou 3. caracterise en ce qu'une balise est 
une information qui definit les caracteristiques du point de passage 
correspondant et/ou d'un ou plusieurs autres points de passage. 

5- Precede selon la revendication 4, caracterise en ce qu'une balise est un des 
elements suivants ou urie combinaison de plusieurs ou de I'ensemble des 

) elements suivants : 

- un nombre entier locallsant la balise dans le code a proteger ; 

- un booleen definissant s it s'agit de la premiere ou de la derniere balise ; 
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une structure de donn6e caracterisant, en fonction de la valeur d'un 
registre ou d'une variable donn6e, I'ensemble des balises dont on 
interdira (par une fonction de verification) le passage dans la suite du 

dergujement de I'execution ; . 

5 • ^ ""un^Wuctu^re d de ia valeur d'un 

registre ou d'une variable donn6e, ('ensemble des balises dont on forcera 
(par une fonction de verification) le passage dans la suite du d6roulement 
de l'ex6cution. 



10 6- Proc6d6 selon Tune des revendications 2 & 5, caracteris6 en ce qu'une 
fonction de balise est une fonction qui sera appeiee par le programme d chaque 
passage par une balise et qui consistera a stocker dynamiquement dans la 
m6moire partagee diverses informations concernant la balise. 

15 7- Proced6 selon la revendication 6, caracterise en ce qu'une fonction de balise 
est une fonction qui empile la balise dans la m6moire partagee et/ou une 
fonction qui met a jour une somme de controle contenue dans la memoire 
partagee avec des donn6es de la balise. 

20 8- Proc6d£ selon Tune des revendications 2 & 7, caracteris6 en ce qu'une 
fonction de verification d'historique est une fonction appel6e a chaque point de 
controle afin de verifier la coherence des informations stockees dans la 
memoire partag6e lors des appels successifs des fonctions de balises, 

9- Unite eiectronique comportant des moyens de traitement de Tinformation et 
des moyens de memorisation d'informations contenant au moins un module £ 
executer caracterise en ce qu'il comporte des moyens permettant durant 
Texecution dudit module, et lors du passage par au moins une balise, a stocker 
une ou plusieurs informations sur une ou des caracteristiques de ladite balise 
dans lesdits moyens de memorisation et des moyens permettant de verifier, au 
moins en u n point d e controle, I a consistance d es i nformations stockees sur 
Pensemble des balises rencontrees. 
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10 - Programme comprenant des instructions de code de programme pour 
I'execution des etapes du precede seldn I'une des revendications 1 a 6 lorsque 
ledit programme est execute dans une unite electronique. 
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ABREGE DESCR1PTIF 



L'invention concerne un procede automatique de securisation d'un 
ensemble electronique de calcul contra les attaques par introduction d'erreur ou 
par rayonnement. 
L'on utilise 

1 . Des informations statiques generees par le procede automatique. 

2. Une partie dynamique de la memoire du systeme electronique allouee par le 
procede automatique. 

3. Des balises et des points de contrdles pour Jalonner le code, introduits par le 
procede automatique. 

4. Des fonctions de balises stockant des informations dans la memoire 
dynamique. 

5. Des fonctions de verification d-historique utilisant les informations statiques et 
la memoire dynamique pour verifier qu'aucune erreur n'a ete introduce. 
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FIG.1 




FIG.2 
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